← Alle Beiträge

Wenn KI den Code liest: Was Cloudflares Glasswing-Experiment für die Verteidigung bedeutet

Cloudflare hat mit Projekt Glasswing spezialisierte KI-Modelle auf die eigene Infrastruktur angesetzt – was das für Angreifer und Verteidiger heißt.

Quellcode auf einem Bildschirm – KI-gestützte Sicherheitsforschung mit KAEMI und Cloudflare (Projekt Glasswing)

Über KI, die Code schreibt, ist viel gesagt worden. Deutlich spannender – und für die IT-Sicherheit folgenreicher – ist die Frage, was passiert, wenn KI Code liest: gezielt, um Schwachstellen zu finden. Cloudflare hat dazu gerade ein außergewöhnlich ehrliches Experiment veröffentlicht. Im Rahmen von „Project Glasswing" bekam das Unternehmen früh Zugriff auf ein spezialisiertes, sicherheitsfokussiertes KI-Modell (Mythos Preview von Anthropic) und ließ es auf über fünfzig der eigenen Code-Repositories los – nicht auf einem Testprojekt, sondern auf produktiver, kritischer Infrastruktur.

Die Ergebnisse sind bemerkenswert, aber nicht auf die Art, die man aus Marketing-Ankündigungen kennt. Sie zeigen ziemlich genau, wo automatisierte Sicherheitsforschung mit KI heute steht – und was drumherum passieren muss, damit daraus etwas Belastbares wird. Für uns als Managed Service Provider ist das hochrelevant, denn dieselbe Technologie steht bald allen offen: Verteidigern wie Angreifern.

Was sich mit der neuen Modellgeneration ändert

Bisherige Schwachstellen-Scanner arbeiten mit Signaturen und Mustern: Sie kennen bekannte Fehlerklassen und suchen danach. Die neue Generation von KI-Modellen geht anders vor. Cloudflare beschreibt es so, dass die Modelle beim Durcharbeiten des Codes eine Argumentation entwickeln, die eher an einen erfahrenen Sicherheitsforscher erinnert als an die Ausgabe eines automatisierten Werkzeugs. Das Modell versteht Zusammenhänge über Dateigrenzen hinweg, verfolgt, wie Daten durch ein System fließen, und leitet daraus ab, wo etwas ausnutzbar sein könnte.

Das ist ein qualitativer Sprung. Wo klassische Werkzeuge nur finden, was ihnen jemand vorher beigebracht hat, erschließen sich diese Modelle neue Schwachstellen aus dem Verständnis des Codes heraus – näher an der Arbeitsweise eines Menschen, aber in einem Tempo und einer Breite, die kein Mensch erreicht.

Dieselbe Fähigkeit, zwei Vorzeichen

Genau hier liegt der Punkt, den Cloudflare offen ausspricht und den man nicht wegdiskutieren sollte: Dieselben Modelle, die helfen, die eigenen Systeme abzusichern, zeigen zugleich, was Angreifer mit der jeweils aktuellsten KI-Generation anstellen können. Wer Schwachstellen schneller findet, kann sie schneller schließen – oder schneller ausnutzen. Die Fähigkeit ist neutral; es entscheidet, wer sie zuerst und konsequenter einsetzt.

Für Verteidiger heißt das: Das Zeitfenster zwischen „Schwachstelle existiert" und „Schwachstelle wird ausgenutzt" wird kleiner. Die Vorstellung, man könne in Ruhe patchen, wenn irgendwann ein Advisory erscheint, trägt immer weniger. Sicherheit verschiebt sich von der einmaligen Prüfung hin zum kontinuierlichen Betrieb – und genau das ist der Bereich, in dem sich ein gemanagter Ansatz auszahlt.

Das Signal-Rausch-Problem: der eigentliche Engpass

So beeindruckend die Trefferquote ist – die härteste Arbeit beginnt danach. Eine der schwierigsten Aufgaben in der Schwachstellen-Analyse ist die Entscheidung, welche Funde echt sind, welche tatsächlich ausnutzbar sind und welche mit Priorität behoben werden müssen. Genau hier produzieren die Modelle auch Rauschen: Meldungen, die plausibel klingen, sich bei genauer Prüfung aber als harmlos oder als Fehlalarm erweisen.

Cloudflare nennt einen konkreten Faktor, der die Rausch-Rate treibt: die Programmiersprache. In speicherunsicheren Sprachen wie C und C++, in denen ganze Fehlerklassen wie Pufferüberläufe überhaupt erst möglich sind, sahen sie deutlich mehr Fehlalarme als in speichersicheren Sprachen wie Rust, die solche Fehler schon zur Übersetzungszeit ausschließen. Anders gesagt: Die KI liefert nicht einfach eine fertige Mängelliste – sie liefert viele Hinweise, die erst noch bewertet werden müssen.

Warum ein generischer KI-Agent allein nicht reicht

Die vielleicht wichtigste Erkenntnis aus dem Bericht: Es genügt nicht, ein starkes Modell auf ein Repository zu richten und auf das Beste zu hoffen. Cloudflare musste eine ganze Architektur drumherum bauen – ein Rahmenwerk, das dem Modell den richtigen Kontext gibt, seine Funde strukturiert prüft, Duplikate und Fehlalarme herausfiltert und die verbleibenden Ergebnisse für menschliche Fachleute aufbereitet. Erst dieses Zusammenspiel aus Modell, Prozess und menschlicher Triage macht die Sache im großen Maßstab nutzbar.

Das deckt sich mit unserer Erfahrung aus dem Betrieb: Werkzeuge – egal wie fortschrittlich – entfalten ihren Wert erst in einem sauberen Prozess mit klaren Zuständigkeiten und geschulten Menschen, die die Ergebnisse einordnen. Ein Alarm ohne jemanden, der ihn bewertet und handelt, ist kein Schutz, sondern nur Lärm.

Was das für Sicherheitsteams – und den Mittelstand – bedeutet

Für große Anbieter wie Cloudflare ist der Aufbau eines solchen Harness Alltag. Für mittelständische Unternehmen ist das weder leistbar noch nötig – wohl aber die Konsequenz daraus. Wenn Angriffe durch KI schneller und breiter werden, verschieben sich die richtigen Prioritäten: weg von der Illusion, jede einzelne Lücke rechtzeitig zu schließen, hin zu Architekturen, die einen Treffer aushalten.

Praktisch heißt das zweierlei. Erstens: die Angriffsfläche im Internet aktiv und automatisiert schützen – hier setzen wir gemeinsam mit Cloudflare auf eine cloud-native Plattform für Application Security mit WAF, Bot- und API-Schutz, die sich laufend an neue Bedrohungen anpasst.

Zweitens: davon ausgehen, dass irgendwann doch etwas durchkommt, und den Schaden von vornherein begrenzen. Genau das leistet Zero-Trust-Segmentierung – sie sorgt dafür, dass ein kompromittierter Punkt nicht zum Einfallstor für das ganze Netzwerk wird. „Assume Breach" ist keine Kapitulation, sondern die realistische Grundhaltung in einer Welt, in der Angreifer KI-Werkzeuge nutzen.

Und drittens gehört dazu, KI selbst sicher und datenschutzkonform einzusetzen, statt sie zu meiden. Wie Anwendungen, Daten und KI-Inferenz nah am Nutzer und kontrolliert betrieben werden, zeigt unsere Seite zu Compute & AI .

Fazit: ehrlich, unaufgeregt, ein Weckruf

Cloudflares Glasswing-Bericht ist deshalb so wertvoll, weil er nicht übertreibt. KI findet echte Schwachstellen, mit einer Qualität, die vor Kurzem undenkbar war – aber sie ersetzt weder den Prozess noch die Fachleute, und sie produziert Rauschen, das eingeordnet werden muss. Für Verteidiger ist das eine gute Nachricht, solange sie zuerst handeln. Für alle, die Sicherheit noch als einmaliges Projekt begreifen, ist es ein Weckruf.

Den ausführlichen Originalbericht gibt es im Cloudflare-Blog .

Sie möchten wissen, wie widerstandsfähig Ihre Umgebung gegen die nächste Angriffsgeneration ist? Im gemeinsamen Analyse-Workshop machen wir Angriffsflächen und Datenflüsse sichtbar. Sprechen Sie uns an .

Fragen zu diesem Thema?

Sprechen wir über Netzwerk- und Sicherheitsziele – unverbindlich.

Kontakt aufnehmen